centos 7 firewalld 命令使用详解
2020-05-02 本文已影响0人
fda524dc01f6
1. firewalld的基本使用
- 启动:
systemctl start firewalld - 关闭:
systemctl stop firewalld - 查看状态:
systemctl status firewalld - 开机禁用 :
systemctl disable firewalld - 开机启用 :
systemctl enable firewalld
2. systemctl 管理服务
systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体。
- 启动一个服务:
systemctl start firewalld.service - 关闭一个服务:
systemctl stop firewalld.service - 重启一个服务:
systemctl restart firewalld.service - 显示一个服务的状态:
systemctl status firewalld.service - 在开机时启用一个服务:
systemctl enable firewalld.service - 在开机时禁用一个服务:
systemctl disable firewalld.service - 查看服务是否开机启动:
systemctl is-enabled firewalld.service - 查看已启动的服务列表:
systemctl list-unit-files|grep enabled - 查看启动失败的服务列表:
systemctl --failed -
关闭iptable管理工具:
systemctl mask iptables.service
for SERVICE in iptables ip6tables ebtables;
do
systemctl mask ${SERVICE}.service
done
3. 配置firewalld-cmd
- 查看版本:
firewall-cmd --version - 查看帮助: firewall-cmd --help
- 显示状态: firewall-cmd --state
-
查看所有打开的端口:
firewall-cmd --zone=public --list-ports -
更新防火墙规则:
firewall-cmd --reload - 查看区域信息:
firewall-cmd --get-active-zones - 预定义的zone:public, trusted, dmz, drop, reject等
- 查看默认区域:
firewall-cmd --get-default-zones -
查看指定接口所属区域:
firewall-cmd --get-zone-of-interface=eth0 - 更改接口所属区域:
firewall-cmd --change-interface=eth1 --zone=trusted - 将运行时状态保存到配置文件:
firewall-cmd --runtime-to-permanent - 拒绝所有包:
firewall-cmd --panic-on - 取消拒绝状态: firewall-cmd --panic-off
- 查看是否拒绝: firewall-cmd --query-panic
4. 开启端口或服务
-
查看现有规则
firewall-cmd --list-all --zone=public -
查看预定义服务列表
firewall-cmd --get-services - 打开端口/服务
firewall-cmd --zone=public --add-service=ssh --permanent
firewall-cmd --zone=public --add-port=80/tcp --permanent
如果不指定–zone则添加到默认区域 ,–permanent永久生效,没有此参数重启后失效)
firewall-cmd --zone=public --add-sources=192.168.0.0/16
-
重新载入
firewall-cmd --reload - 查看
firewall-cmd --zone= public --query-port=80/tcp - 删除
firewall-cmd --zone= public --remove-port=80/tcp --permanent
5. 富规则
- 设置
firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.1.2/32 reject'
firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=7900-7905 protocol=tcp accept'
firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 service name=ssh log prefix=ssh level=notice limit=3/s accept'
firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.0/24 service name=http log prefix="New HTTP " level=notice limit=3/s accept'
日志记录默认使用syslog, 查看#tail -f /var/log/messages
- 查看
firewall-cmd --list-rich-rules --zone=public - 删除
firewall-cmd --remove-rich-rule='rule family=ipv4 source address=192.168.1.2/32 reject'
6. 地址伪装和端口转发(NAT)
SNAT 原地址转换,内网用户上网
- 为端口添加masquerade
firewall-cmd --permanent --zone=external --add-masquerade - 为匹配的流量做转换
firewall-cmd --permanent --zone=external --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 masquerade' - 加载配置
firewall-cmd --reload
端口转发,外部访问内部
firewall-cmd --zone=external --add-forward-port=port=443:proto=tcp:toaddr=192.168.2.10 success
